Neue EU-Regulierungen und -Richtlinien zur Cyber-Sicherheit

Alles eine Frage der Vorbereitung

| Autor / Redakteur: Roland Messmer / Manfred Klein

Die NIS-Direktive des Europäischen Parlaments zwingt auch die Öffentliche Verwaltung zum Handeln
Die NIS-Direktive des Europäischen Parlaments zwingt auch die Öffentliche Verwaltung zum Handeln (Bild: © momius – Fotolia.com)

Die vom Europäischen Parlament verabschiedete „Network and Information Security“-Direktive (NIS) zwingt alle Akteure – auch die Öffentliche Verwaltung – in Sachen Cyber-Sicherheit zum Handeln. Wie geht es nun weiter?

Von der NIS-Direktive sind staatliche Einrichtungen, Öffentliche Verwaltungen, aber auch Suchmaschinen- und Cloud-Anbieter, Social-Network-Betreiber, Online-Zahlungsplattformen wie PayPal und eCommerce-Webseiten wie Amazon betroffen. Die Direktive ist dazu gedacht, in der Europäischen Union ein Mindestniveau für die Cyber-Sicherheit und Zuständigkeiten für das Melden von Datenlecks zu etablieren.

NIS arbeitet Hand in Hand mit der im April 2016 ratifizierten General Data Protection Regulation (GDPR), zu Deutsch EU-Datenschutz-Grundverordnung (EU-DSGVO): Diese zwingt öffentliche und private Akteure ebenfalls dazu, gravierende Datenpannen innerhalb eines kurzen Zeitraums offenzulegen – sonst drohen massive Bußgelder. So sollen die Organisationen dazu angehalten werden, ihre IT-Sicherheitsmaßnahmen zu optimieren.

Während das GDPR nur dann das Melden von Attacken fordert, wenn ein Risiko für personenbezogene Daten besteht, geht die Direktive einen Schritt weiter: Sie beauftragt Betreiber dazu, eine zuständige Stelle zu informieren, sobald es einen Einfluss auf das Bereitstellen ihrer Dienstleistungen gibt. Die Direktive zielt ultimativ darauf ab, die IT-Gefahrenabwehr zu verbessern und Erfahrungen über heutige Cyber-Bedrohungen auszutauschen.

Angriffen Einhalt gebieten

Hacker setzen heute sehr leistungsfähige Techniken ein, um Zugriff auf Daten zu erlangen. Das macht es Behörden und Unternehmen schwer, sich zu verteidigen. Hochentwickelte, persistente Angriffsmethoden (Advanced Persistent Threats, APT), Ransomware und gestohlene Zugangsdaten sind heute verbreitete Methoden, mit denen Hacker sich sensible Informationen beschaffen. Darüber hinaus gibt es interne Bedrohungen – die größte Schwachstelle technischer Infrastrukturen ist immer noch der Menschen. Keine Einrichtung ist hundertprozentig abgesichert, Bedrohungen finden immer wieder ihren Weg ins Netzwerk – doch sie können gestoppt werden, ehe sie Schaden anrichten.

Ein großes Problem vieler wichtiger Infrastruktureinrichtungen – etwa für die Wasser- und Energieversorgung – ist, dass sie lange vor dem Auftauchen des Internets entwickelt und aufgebaut wurden. ­Daher setzen viele SCADA-Computersysteme (Supervisory Control And Data Aquisition) zum Überwachen und Steuern technischer Systeme aus heutiger Sicht völlig unzureichende Authentifizierungsverfahren ein und übertragen zum Beispiel Daten im Klartext. Die Software der Computersysteme basiert zudem häufig auf veraltetem und damit verwundbarem Code.

Wie anfällig SCADA-Systeme sind, zeigen jüngste Angriffe zum Beispiel auf ukrainische Energieversorger, die zu einem großflächigen Ausfall der Stromversorgung geführt haben, sowie eine Attacke auf den wichtigsten Flughafen der Ukraine, Boryspil in der Hauptstadt Kiew, bei der Schadsoftware auf einem Computer gefunden wurde. Stuxnet und Flame zählen ebenfalls zu besonders angepassten und leistungsfähigen Formen von Malware, über die SCADA-Systeme angegriffen wurden. Diese Attacken unterstreichen die wachsende Bedrohung für wichtige nationale Infrastruktur- und SCADA-Systeme. Sie zeigen zudem, zu welchen Leistungen Hacker fähig sind.

Wenn Hacker die Kontrolle über ein SCADA-System übernehmen, kann dies eine große Bedrohung für ein Land sein. Das Schadenpotenzial ist enorm. Durch die zunehmende Vernetzung der Infrastrukturen sind die Kontrollsysteme zudem immer verwundbarer für Cyber-Angriffe.

Ergänzendes zum Thema
 
Wer bei Datenschutzpannen haftet
 
Schritt für Schritt zum Sicherheitskonzept

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44451960 / Standards & Technologie)